模拟用户行为的安卓软件恶意行为触发系统及方法技术方案

本发明专利技术公开了一种模拟用户行为的安卓软件恶意行为触发系统及方法，增加模拟真实用户手机环境变化的技术，对在动态检测技术中对恶意软件行为的触发更加有效率，并且对恶意软件在识别模拟器环境上造成困难；所述系统包括用户信息采集模块、用户数据挖掘模块、遍历引擎模块三大模块；具体步骤为：手机端收集用户行为特征量、服务器存储并分析用户行为特征量、生成行为特征量的关联数据组、用户上传待测APK文件、对APK文件进行预处理、利用软件进行应用控件分析、生成控件树遍历策略、利用遍历引擎开始进行控件树遍历、判断是否触发完毕、保存每个不同界面的截图。本发明专利技术遍历覆盖率更高，对恶意行为的触发更全面，遍历速度更高。

Android software malicious behavior triggering system and method for simulating user behavior

System and method for triggering Android software malicious behavior of the invention discloses a simulation of user behavior, increased to simulate the real user environment change of mobile phone technology in dynamic detection technology to trigger malicious software behavior more efficiently, and the malicious software is difficult to environment in the recognition mode; the system comprises a user the information collection module, data mining module, user traversal engine module three modules; the specific steps are as follows: mobile phone terminal to collect user behaviors, server storage and analyze user behavior characteristics, formation behavior features of the associated data sets, users upload sample APK files, APK files on the pretreatment, by using the software application of control analysis, control strategy, using the generated tree traversal traversal engine start control tree traversal, determine whether the trigger is completed, save Screenshot of each different interface. The invention has higher traversal coverage rate, more complete triggering of malicious behavior and faster traversal speed.

【技术实现步骤摘要】
模拟用户行为的安卓软件恶意行为触发系统及方法
本专利技术属于计算机
，尤其涉及一种模拟用户行为的安卓软件恶意行为触发系统及方法。
技术介绍
随着手机智能化的发展，各式各样的应用软件出现在各大应用商店中，而对应的手机操作系统也在不断的更新换代。如今，手机操作系统的全球市场份额几乎被安卓操作系统和IOS操作系统所占领，而安卓操作系统的使用率毫无疑问的位居榜首。安卓系统的开源性一直是各大用户和手机制造商所津津乐道的优点，但是正因为这种特性，安卓系统不得不面临比IOS系统严峻的多的安全性问题。据统计，如今每5到6台运行安卓操作系统的手机就有1台被感染了病毒，每年给用户造成的损失难以估计，为了检测出手机恶意软件的行为，国内外的研究者展开了系统而深入的研究。现今主流的手机软件恶意行为检测的方法有两种：静态分析方法和动态分析方法。静态分析方法主要通过逆向分析APK文件的源代码或者AndroidManifest文件的权限特征来检测恶意软件的行为，该方法的优点是分析速度快，适用于大规模的恶意软件分析。但是，随着代码混淆和加固技术的发展，获取APK文件的源代码或者特征变得越来越困难，同时市场上的绝大部分软件存在过度申请权限的行为，这造成了静态分析方法对恶意软件进行分析的困难。动态分析方法是一个还在发展中的恶意软件检测方法，主要通过一个沙盒来模拟软件的运行环境，监控和分析软件的行为，进而判断该软件是否为恶意软件。它包括三个方面的内容：软件恶意行为的触发，软件恶意行为的监控，软件恶意行为的分析。其中，软件恶意行为的触发是国内外研究较少的一个领域，大部分的触发方式停留在单纯的调用MonkeyRunner工具生成的伪随机事件流，随机的点击操作无法有效的触发恶意软件的行为，所以如何能够更加全面和快速的对待测应用进行遍历是一个亟待解决的问题。北京奇虎科技有限公司申请的专利“一种安卓应用UI控件精准遍历方法和装置”(申请号CN201510940069.7申请公布号CN105468529A)公开了一种基于Activity控件遍历的技术。该方法由测试进程在监控到目标应用启动后，获取Activity栈顶的Activity对象的Activity名称；根据所述Activity名称，从策略库中获取对应所述Activity的点击条件策略；根据所述点击条件策略，对所述Activity对象中的各UI控件进行点击操作；根据所述点击操作记录测试结果并输出。该方法存在的不足之处是遍历操作发生在手机端，由于移动终端性能的影响导致遍历的效率不高。其次，该方法仅仅是单纯的UI控件遍历技术，并没有与移动安全这个特殊背景相结合。深圳数字电视国家工程实验室股份有限公司申请的专利“一种应用程序的自动化动态检测方法及装置”(申请号CN201410836820.4申请公布号CN104462979A)提供了一种应用程序的自动化动态检测方法及装置，利用软件分析当前窗口所包含的多个控件，并在多个控件中筛选出关键控件，及关键控件的位置坐标和关键属性，并自动在位置坐标处执行关键属性的输入操作，整个过程自动完成无需人工参与，从而降低了人工成本，并且仅对多个控件中较为重要的关键控件执行输入操作，对作用不大的其余控件，则不执行输入操作，因此大大提高了检测效率。该方法存在的不足之处是：(1)关键控件的数量太少导致遍历的覆盖率不高。(2)无法应对在测试过程中恶意软件对虚拟机环境的辨别。综上，现有的动态检测技术对于恶意软件行为触发方面还存在有以下几点不足：(1)控件的遍历覆盖率较低，某些特殊的控件无法进行有效的触发操作。(2)控件的遍历效率较低。(3)不能抵御恶意软件对模拟器环境的检测，有可能在软件触发过程中无法有效的激活软件的恶意行为。
技术实现思路
本专利技术的目的在于提供一种模拟用户行为的安卓软件恶意行为触发系统及方法，旨在解决现有移动终端用户身份认证系统存在控件的遍历覆盖率较低，不能抵御恶意软件对虚拟机环境的检测，单纯的进行控件点击来触发软件的恶意行为，容易导致检测失败的问题。本专利技术是这样实现的，一种模拟用户行为的安卓软件恶意行为触发方法，该方法预先收集用户的行为信息来建立一个模拟用户行为的模型，该模型用于在动态分析过程中抵御恶意软件对模拟器环境的检测；同时，该方法针对不同类型的控件采取不同的触发策略来提高遍历覆盖率，比如对于TextView类型的控件将会填入预先设定好的文本内容，对于ListView类型的控件将会补充滑动操作，对于视频播放或WebView等无法有效操作的控件采取忽略等。所述改进的模拟用户行为的安卓软件恶意行为触发方法增加模拟真实用户手机环境变化，本专利技术中手机环境变化因素具体为应用启动时间、手机定位信息、手机所处的网络环境这三点。具体步骤如下：手机端收集用户行为特征量，当应用启动时，在用户手机上收集启动应用的基本信息，应用的启动时间，手机的定位信息，手机所处的网络环境；服务器存储并分析用户行为特征量，将收集到的信息上传至服务器进行存储，利用FP-Growth算法进行数据分析并比对已存储的数据，找出不同种类的应用所对应的启动时间-定位信息改变量制定用户行为模拟策略；生成行为特征量的关联数据组。进一步，所述生成行为特征量的关联数据组之后：步骤一，用户上传待测APK文件，用户将需要进行恶意检测的软件上传至指定服务器；步骤二，对APK文件进行预处理，服务器利用软件对APK文件中的XML类型文件进行分析，提取出应用名信息；步骤三，利用软件进行应用控件分析，服务器利用软件对上传的应用进行界面分析，生成界面树和对应的控件树；界面树中每一个界面为一个树节点，控件树中每一个控件为一个树节点；步骤四，生成控件树遍历策略，对于不同的控件需要有不同的触发策略，同时需要添加所生成的关联数据组进行遍历；步骤五，利用遍历引擎开始进行控件树遍历，在模拟器中开启模拟用户行为进程，按照策略进行用户行为模拟；树的遍历方式采用广度遍历；步骤六，判断是否触发完毕，如果控件触发完毕，则进行步骤七；若程序中断或者崩溃，则进行步骤五；步骤七，保存每个不同界面的截图。进一步，所述生成行为特征量的关联数据组的关联数据组应为一组数组，包括应用使用时间，应用种类，使用应用时手机的位置信息变化量，网络状态。位置信息变化量的计算方法为：设位置1的经度为M1，纬度为N1，位置2的经度为M2，纬度为N2，则位置信息变化为：T2＝N22+M22-(N12+M12)。本专利技术的另一目的在于提供一种所述模拟用户行为的安卓软件恶意行为触发方法的安卓软件恶意行为触发系统，所述安卓软件恶意行为触发系统包括：用户信息采集模块、用户数据挖掘模块、遍历引擎模块。进一步，所述用户信息采集模块包括：应用上传子模块：用于上传待测应用APK文件；应用监听子模块：用于获取用户在使用不同种类应用时的手机状态信息；结果反馈子模块：用于将检测结果反馈给用户。进一步，所述用户数据挖掘模块包括：用户数据存储子模块：用于存储采集到的用户数据；用户数据分析子模块：用于分析用户数据，得到模拟用户行为的特征量。进一步，所述遍历引擎模块包括：应用界面分析子模块：用于分析应用的界面和控件信息；应用控件触发策略生成子模块：用于生成控件的触发策略，包括但不限于对特殊控件进行处理；控件本文档来自技高网...

【技术保护点】
一种模拟用户行为的安卓软件恶意行为触发方法，其特征在于，所述模拟用户行为的安卓软件恶意行为触发方法增加模拟真实用户手机环境变化；手机端收集用户行为特征量，当应用启动时，在用户手机上收集启动应用的基本信息，应用的启动时间，手机的定位信息，手机所处的网络环境；服务器存储并分析用户行为特征量，将收集到的信息上传至服务器进行存储，利用FP‑Growth算法进行数据分析并比对已存储的数据，找出不同种类的应用所对应的启动时间‑定位信息改变量制定用户行为模拟策略；生成行为特征量的关联数据组。

【技术特征摘要】
1.一种模拟用户行为的安卓软件恶意行为触发方法，其特征在于，所述模拟用户行为的安卓软件恶意行为触发方法增加模拟真实用户手机环境变化；手机端收集用户行为特征量，当应用启动时，在用户手机上收集启动应用的基本信息，应用的启动时间，手机的定位信息，手机所处的网络环境；服务器存储并分析用户行为特征量，将收集到的信息上传至服务器进行存储，利用FP-Growth算法进行数据分析并比对已存储的数据，找出不同种类的应用所对应的启动时间-定位信息改变量制定用户行为模拟策略；生成行为特征量的关联数据组。2.如权利要求1所述的模拟用户行为的安卓软件恶意行为触发方法，其特征在于，所述生成模拟用户行为的行为特征量的关联数据组的关联数据组应为一组数组，包括应用使用时间，应用种类，使用应用时手机的位置信息变化量，网络状态；位置信息变化量的计算方法为：设位置1的经度为M1，纬度为N1，位置2的经度为M2，纬度为N2，则位置信息变化为：T2＝N22+M22-(N12+M12)。3.一种如权利要求1所述模拟用户行为的安卓软件恶意行为触发方法的安卓软件恶意行为触发系统，其特征在于，所述安卓软件恶意行为触发系统包括：用户信息...

【专利技术属性】
技术研发人员：李晖，李代琛，赵兴文，朱辉，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西,61